Comments
Description
Transcript
旧式の端末エミュレータがもたらす危機
旧式の端末エミュレータがもたらす危機 旧式のエミュレータが重大なセキュリティリスクを抱える理由 ホワイトペーパー 旧式の端末エミュレータがもたらす危機 旧式のエミュレータが重大なセキュリティリスクを抱える理由 多くの場合、ホストシステム上に存在するデータは、ネッ トワーク上で最も機密性の高い情報です。ホストシステ ムにはデスクトップ上の端末エミュレータからアクセスで きますが、未だに多くの組織で、何年も前のベストプラク ティスに基づいて配備された旧式の製品が使用されてい ます。 は、端末エミュレータをアップグレードするまで利用でき ないということになります。 企業や組織は、旧式の端末エミュレータを使用している と、最新のセキュリティ標準に準拠できないという場合 が少なくありません。また IT 管理者は、カスタマイズを 施して企業ネットワークに適切なセキュリティ対策を講 じることができません。しかし多くの企業が、旧製品を 使い続けること本来のリスクを認識していないのが現状 です。 2) エンドユーザマクロを把握していない と、問題が起きる可能性がある。 現在ご使用の端末エミュレーションクライアントは、 最新のセキュリティ標準に対応しているでしょうか。 重要なビジネス情報や顧客情報のセキュリティは確保さ れているでしょうか。セキュリティ侵害や内部での不正行 為が増加する今日、企業は機密データの保護を厳格化す るとともに、PCI-DSS、USGCB、FDCC、FIPS 140 など、 デスクトップ配備とデータセキュリティの強化を目的とし た新しい政府規制や標準に準拠する必要があります。 旧式のエミュレータを利用し続けていると、ネットワーク や機密データが危険にさらされることになりかねま せん。しかし、新しい端末エミュレータを導入すれば、 規制や標準に準拠し、脅威に備えることができます。 本当の意味で安全なホスト接続を利用するには、軍用レ ベルの SSH と SSL を採用し、最新の標準の認定を受 けているエミュレータを使用する必要があります。 社内のどこにマクロが存在するか、そのマクロがどのよう なものかを把握していない場合、未知の大きなリスクに さらされていることになります。 すべての端末エミュレーションクライアントには、エンド ユーザがマクロを記録し、日常的なタスクを自動化する 機能があります。また、ほとんどの端末エミュレータで は、Visual Basic for Applications (VBA) のようなツール を使用して、高度なマクロを作成することができます。こ れらの高度なマクロを使用すれば、サインオン認証情報 をはじめホストシステムに書き込まれるあらゆる情報を 記録することも可能になります。あるいは、画面を繰り返 しクローリングして、ホスト上のデータを抽出したり書き 換えたりすることも不可能ではありません。さらに、配備 を古いやり方で続けていると、こういったリスクの高いマ クロを、電子メールやスニーカーネットによって簡単に共 有できてしまいます。 このホワイトペーパーでは、端末エミュレータ製品の刷 新を検討すべき 5 つの理由について説明します。 こういったマクロが社内に存在する場合、 マクロの所有者 を把握し、容易に共有されないようにしなければなりま せん。 1) セキュリティプロトコルが 実際には 安全ではない可能性がある。 マクロなどの自動化タスクを効果的に管理するには、管 理者がエミュレーションクライアントで端末エミュレーシ ョンの展開をきめ細かにコントロールし、信頼されたマク ロのみが実行可能になるようにする必要があります。 旧式のエミュレータ製品の SSL/TLS および SSH 暗号 化技術や認証技術は、安全ではない可能性があ ります。 SSL/TLS 技術と SSH 技術は、ほとんどのエミュ レータで採用され、ホストシステムの認証保護や 機密性の高い企業データ転送の暗号化に利用さ れていますが、これらのプロトコルの脆弱性はハ ッカーによって毎月のように発見されています。 エミュレーション製品では、こういった脆弱性へ の修正はユーザへ自動配信されるわけではなく、 製品の更新によって行われます。最新バージョン の製品を使用しなければ、SSL/TLS プロトコル や SSH プロトコルの多数の脆弱性を抱える可能 性が高まります。 旧式のエミュレーション製品の場合、こういったプ ロトコルに重要なセキュリティ修正がないだけで なく、特に認証に関して、セキュリティ強化のため 長年にわたって追加されてきた新しい機能が搭載 危険なマクロを使用すると、ユーザ認証情報などの機密情報の記録、コピー、 されていません。これらの 追加された保護機能 共有が可能になってしまいます。 ホワイトペーパー 3) トレース機能を使って機密性の高 い企業データが収集される。 旧式の端末エミュレーション製品の多くはトレース機能 を備えています。この機能を利用すれば、エンドユーザ は、ホストセッション中に表示できるすべてのデータを暗 号化されていないファイルに記録することが可能 です。いったんファイルに記録された機密情報は、電子メ ールやポータブルメディアを介して 容易に PC から抜け 出し、社外へと持ち出されることになります。 トレース機能はすべてのエミュレータに搭載されていま すが、この機能を無効にするオプションや、エンドユーザ が利用できないように する設定が必要です。そのための 最も簡単な方法は、Windows Vista や Windows 7 のユ ーザアカウント制御の昇格機能を利用する方法 です。この機能を利用して、エンドユーザがアクセス可能 な機能を管理者がきめ細かにコントロールすることがで きます。 4) 旧式の端末エミュレーションクライア ントでは データがマスクされない。 Ctrl + C を押すだけで、ほとんどの端末エミュレータ から機密データをコピーすることができてしまいます。 また、旧式のエミュレータでは、インストールされている 電子メールシステムを使用して、ホスト画面を送信するこ ともできます。このようにデータがマスクされていないこ とから、エンドユーザは機密情報を簡単に他のアプリケ ーションと共有できます。 最新の端末エミュレータには、プライバシーフィルタなど の高度な機能が搭載されており、特定のパターンのデー タがアプリケーションから持ち出されないよう管理者が 制御できるようになっています。たとえば、クレジットカ ード番号や 社会保障番号など、機密性の高い個人情報 が、クリップボード、Word ドキュメント、Outlook 電子メ ールに取り込まれたり、印刷されたりするのを防ぐことが できます。情報がホストアプリケーションを離れた場合 は、パターンマッチング技術によってその情報が編集さ れます。 5) ベンダ選定はセキュリティ開発ライフサイクルから。 端末エミュレーションベンダを選ぶ際は、定評のあるセ キュリティ開発ライフサイクルを活用し、セキュリティの 脅威からの保護を支援できるベンダを選択する必要があ ります。また、新しいリリースや更新においてセキュリティ を最優先し、セキュリティ技術の 開発と認証を監督する 専門のセキュリティチームを設置していることも条件とな ります。セキュリティ機能が単純なチェック項目であって はなりません。集中的なセキュリティテストと脅威モデリ ングが実施されており、業務アプリケーションの完全性 の維持を支援できるものである必要があります アップグレードによってリスクを低減 端末エミュレーションベンダを選択する際に第一 に検討すべきは、ベストプラクティスの導入と新し い未知の脅威や脆弱性の追跡に関してリソースと 経験を有するベンダです。本番稼働環境を中断す ることなく、最新のセキュリティ更新を活用できる よう支援できるベンダを探すべきです。 Attachmate は、約 30 年にわたって高度なセキ ュリティを備えた端末エミュレーション製品の開 発に取り組み、低セキュリティ製品からのスムーズ なアップグレードをお手伝いしてきました。また、 セキュリティ開発ライフサイクルにも重点的に取り 組んでおり、これらの豊富な経験を通じて、重大 なセキュリティリスクへの対応を可能にするととも に、端末エミュレーションデスクトップの 制御性 向上を実現します。 Reflection® 2011 は、ホストアプリケーションからの機密データ流出を防ぎ、 安全を確保します。 〒162-0845 東京都新宿区市谷本村町1-1 住友市ヶ谷ビル 9階 03-3513-5111 03-3513-5112 本 社 中部支社 西日本支社 〒101-0022 東京都千代田区神田練塀町3 富士ソフトビル Tel: (03)5297-3487 Fax: (03)5297-3646 Tel: (052)219-5900 Fax: (052)219-5970 Tel: (06)6940-3600 Fax: (06)6940-3601 http://www.cybernet.co.jp/reflection/ [email protected] © 2011 Attachmate Corporation. All Rights Reserved. Attachmate、Attachmate のシンボル、および Reflection は、米国における Attachmate Corporation の登録商標です。本ドキュメントに記されているその他 の商標、商号、または企業名はそれぞれの所有者の商標です。11-0006JC.0211